有一天,我们收到了一份云服务请求。我们概括地概述了我们的要求,并发回了一系列问题以澄清细节。然后我们分析了答案并意识到:客户希望将二级安全的个人数据放在云端。我们回答他:“你有第二层个人数据,抱歉,我们只能打造私有云。”他:“你知道,但在 X 公司,他们可以公开向我发布所有内容。”
路透社史蒂夫·克里斯普摄
奇怪的东西!我们去了X公司的网站,研究了他们的证明文件,摇头后意识到:个人数据的放置有很多悬而未决的问题,应该彻底解决。这就是我们在这篇文章中要做的事情。
一切应该如何运作
首先,让我们弄清楚使用什么标准将个人数据分类为一个或另一个安全级别。这取决于数据的类别、运营商存储和处理的数据主题的数量以及当前威胁的类型。
当前威胁的类型定义在 1 年 2012 月 XNUMX 日“关于批准个人数据在个人数据信息系统处理过程中的保护要求”:
“第一类威胁与信息系统相关,如果它包括 当前的威胁相关 存在未记录(未声明)的功能 在系统软件中用于信息系统。
第二类威胁与信息系统相关(如果适用),包括 当前的威胁相关 存在未记录(未声明)的功能 在应用软件中用于信息系统。
第三类威胁与信息系统相关(如果对于信息系统而言) 不相关的威胁 存在未记录(未声明)的功能 在系统和应用软件中用于信息系统。”
这些定义中的主要内容是存在未记录(未声明)的功能。为了确认不存在未记录的软件功能(在云中,这是一个虚拟机管理程序),由俄罗斯 FSTEC 进行认证。如果 PD 操作员承认软件中不存在此类功能,则相应的威胁就无关紧要。 PD 运营商极少认为 1 类和 2 类威胁具有相关性。
运营商除了确定PD安全等级外,还必须确定公有云当前面临的具体威胁,并根据识别出的PD安全等级和当前威胁,确定必要的防护措施和手段。
FSTEC 明确列出了所有主要威胁 (威胁数据库)。云基础设施提供商和评估人员在工作中使用此数据库。以下是威胁示例:
:“威胁是虚拟机外部运行的恶意软件可能会侵犯虚拟机内部运行的程序的用户数据的安全。”这种威胁是由于虚拟机管理程序软件中存在漏洞造成的,该软件可确保用于存储虚拟机内部运行的程序的用户数据的地址空间与虚拟机外部运行的恶意软件的未经授权的访问隔离。
如果恶意程序代码成功地克服了虚拟机的边界,那么这种威胁的实施是可能的,不仅通过利用虚拟机管理程序的漏洞,而且还通过从较低(相对于虚拟机管理程序)级别实施这种影响。系统运行。”
:“威胁在于一个云服务消费者可能会未经授权访问另一个消费者的受保护信息。这种威胁是由于云技术的本质,云服务消费者必须共享相同的云基础设施。如果在云服务消费者之间分离云基础设施元素以及隔离其资源和彼此分离数据时出现错误,就会出现这种威胁。”
您只能在虚拟机管理程序的帮助下防范这些威胁,因为它是管理虚拟资源的。因此,必须将虚拟机管理程序视为一种保护手段。
并根据 自 18 年 2013 月 4 日起,虚拟机管理程序必须获得 1 级非 NDV 认证,否则使用 2 级和 XNUMX 级个人数据将是非法的(“第 12 条。 ...为了确保第 1 级和第 2 级个人数据安全,以及确保第 3 类威胁被列为当前信息系统中的个人数据安全第 2 级,使用了信息安全工具,其软件已通过至少根据 4 级控制对不存在未声明能力的情况进行测试”).
只有俄罗斯开发的一个虚拟机管理程序具有所需的认证级别:NDV-4。 。温和地说,这不是最受欢迎的解决方案。商业云通常是基于 VMware vSphere、KVM、Microsoft Hyper-V 构建的。这些产品均未经过 NDV-4 认证。为什么?制造商获得此类认证可能在经济上还不合理。
对于我们在公共云中的 1 级和 2 级个人数据来说,剩下的就是 Horizon BC。悲伤但真实。
(在我们看来)一切是如何运作的
乍一看,一切都非常严格:必须通过正确配置根据 NDV-4 认证的虚拟机管理程序的标准保护机制来消除这些威胁。但有一个漏洞。根据 FSTEC 第 21 号命令(第二条 个人数据在个人数据信息系统(以下简称信息系统)中处理时的安全,由运营者或者代表运营者处理个人数据的人按照下列规定确保: 俄罗斯联邦”),提供商独立评估可能威胁的相关性并相应地选择保护措施。因此,如果您不接受当前威胁 UBI.44 和 UBI.101,则无需使用根据 NDV-4 认证的虚拟机管理程序,而这正是应该提供针对这些威胁的保护。这足以获得公共云个人数据安全级别 1 和 2 的合规证书,Roskomnadzor 对此将完全满意。
当然,除了Roskomnadzor之外,FSTEC也可能会进行检查——而且这个组织在技术问题上要细致得多。她可能会感兴趣为什么威胁 UBI.44 和 UBI.101 被认为是无关紧要的?但通常 FSTEC 仅在收到有关重大事件的信息时才会进行检查。在这种情况下,联邦服务首先来到个人数据运营商——即云服务的客户。在最坏的情况下,运营商会收到小额罚款 - 例如,年初的 Twitter 在类似的情况下,金额为 5000 卢布。然后FSTEC进一步走向云服务提供商。由于不遵守监管要求,很可能会被剥夺许可证 - 对于云提供商和其客户来说,这些都是完全不同的风险。但是,我再说一遍, 要检查 FSTEC,您通常需要一个明确的理由。 因此云提供商愿意承担风险。直到第一次严重事件发生。
还有一群“更负责任”的提供商认为,通过向虚拟机管理程序添加 vGate 之类的附加组件,可以消除所有威胁。但在分布于客户之间的虚拟环境中,对于某些威胁(例如上述的 UBI.101),有效的保护机制只能在根据 NDV-4 认证的虚拟机管理程序级别上实施,因为任何附加系统虚拟机管理程序用于管理资源(特别是 RAM)的标准功能不受影响。
我们如何工作
我们有一个云部分在经过 FSTEC 认证的虚拟机管理程序上实施(但没有 NDV-4 认证)。该段经过认证,因此个人数据可以基于它存储在云端 3 级和 4 级安全性 — 这里不需要遵守针对未声明能力的保护要求。顺便说一句,这是我们安全云部分的架构:
个人数据系统 1 级和 2 级安全性 我们仅在专用设备上实施。仅在这种情况下,例如,UBI.101的威胁实际上并不相关,因为不由一个虚拟环境统一的服务器机架即使位于同一数据中心也无法相互影响。对于这种情况,我们提供专门的设备租赁服务(也称为硬件即服务)。
如果您不确定您的个人数据系统需要什么级别的安全性,我们还可以帮助对其进行分类。
结论
我们的小型市场研究表明,一些云运营商非常愿意冒着客户数据安全和自身未来的风险来接收订单。但在这些问题上,我们坚持不同的政策,我们在上面简要描述了这一点。我们很乐意在评论中回答您的问题。
来源: habr.com